 UNiVERSiTATEA SPiRU HARET FACULTATEA DE MANAGEMENT FiNANCiAR-CONTABiL BUCURESTi Programul de Studii Universitare de Masterat (4 semestre Ciclul ii Bologna): Audit financiar-contabil Disciplina: ACTiViTATE DE CERCETARE-PROiECTARE LUCRARE (RAPORT DE CERCETARE) CU TEMA: Filozofia, principiile si arhitectura cadrului de lucru COBiT Autor Masterand Cotrau Robert Bucuresti 2011 CUPRiNS iNTRODUCERE i 1 Motivatia alegerii temei i 2 Scopul cercetarii i 3 Continutul tezei i 4 Rezumat in limba engleza CAPiTOLUL1-NATURASi MANAGEMENTULUi DE PROiECT ORGANiZAREA 1-1 1-1 1-4 1-8 1-12 1-17 1-17 1-20 1-23 1-26 1-33 1-36 2-1 2-1 2-5 2-6 2-10 2-13 2-16 2-23 2-26 2-30 1 1 Notiunea de proiect si trasaturi principale ale proiectelor 1 2 Natura si scopul managementului de proiect 1 3 Managementul prin proiecte 1 4 Procese ale managementului proiectelor 1 5 Obiectivele proiectelor sistemelor informatice 1 6 Functiile managementului proiectelor S i 1 7 intretinerea sistemelor informationale 1 8 Analiza si evaluarea tehnico-economica a sistemelor informatice complexe 1 9 Rolul sistemelor informatice in reingineria proceselor economice 1 10 Managementul strategic - baza a evaluarii impactului sistemelor informatice complexe Concluzii CAPiTOLUL 2 - MANAGERUL CALiTatiLE ACESTUiA PROiECTULUi Si 2 1 Calitatile managerului proiectului 2 2 Sprijin, cooperare si instruire pentru managerul de proiect 2 3 Pozitia si rolul managerului de proiect in organizatie 2 4 Procesul decizional si metodele de evaluare 2 5 Decizii individuale sau decizii de grup? 2 6 Rolul instrumentelor Case in alegerea strategiilor de realizare a proiectului 2 7 identificarea si selectia proiectelor de dezvoltare a sistemelor informationale 2 8 Rolul asociatiei managerilor de proiect in managementul proiectelor S i Concluzii 2 CAPiTOLUL 3 - MANAGEMENTUL ACTiViTatii DE PLANiFiCAREAPROiECTELORSiSTEMELOR iNFORMATiCE COMPLEXE 3 1 Metode, tehnici si instrumente de planificare 3 2 Planificarea activitatilor din cadrul proiectelor informatice complexe 3 3 Planificarea strategica a S i 3 4 Procese identificate in planificarea si controlul proiectelor 3 5 Managementul sferei de cuprindere a proiectelor 3 6 Managementul timpului in realizarea proiectelor 3 7 Managementul costurilor proiectelor 3 8 Managementul riscului in cadrul proiectelor 3 9 Managementul resurselor umane 3 10 Managementul calitatii proiectelor 3 11 Controlul proceselor ce presupun planificarea si organizarea proiectelor Concluzii 3-1 3-1 3-4 3-18 3-23 3-28 3-32 3-35 3-42 3-50 3-55 3-83 CAPiTOLUL 4 MANAGEMENTUL ACTiViTǍtii DE ACHiZitiE A ECHiPAMENTELOR , SOLUtiiLOR iNFORMATiCE si iMPLEMENTAREA ACESTORA 4 1 Managementul achizitiilor in proiecte 4 2 Planificarea achizitiilor pentru implementarea proiectelor 4 3 Planificarea solicitarii documentelor necesare in proiecte 4 4 identificarea furnizorilor potentiali in activitatea de achizitie a echipamentelor si solutiilor informatice 4 5 Administrarea contractelor cu furnizorii 4 6 Finalizarea contractelor cu furnizorii 4 7 Controlul proceselor de achizitie a echipamentelor si solutiilor informatice Concluzii 4-1 4-2 4-3 4-4 4-5 4-6 4-7 4-7 4-22 3 CAPiTOLUL 5 MANAGEMENTUL ACTiViTatii DE iMPLEMENTARE A S i si SUtiNEREA PRiN DOCUMENTAtii DE PROiECT 5 1 Managementul comunicarii in proiecte 5 2 Rolul managerilor de proiecte in comunicare 5 3 Planificarea comunicarii privind activitatea de asistenta si sustinere prin documentatii de proiect in procesele de implementare si exploatare a S i 5 4 Distribuirea informatiilor in activitatea de asistenta si sustinere prin documentatii de proiect a sistemului proiectat 5 5 Managementul conflictului in activitatea de implementare si sustinere prin documentatie de proiect a sistemului 5 6 Controlul proceselor de furnizare a sistemului proiectat si de documentare a utilizatorilor Concluzii 5-1 5-1 5-3 5-5 5-7 5-9 5-14 5-45 CAPiTOLUL 6 MANAGEMENTUL ACTiViTatii DE MONiTORiZARE DiNCADRULPROiECTELORSiSTEMELOR iNFORMATiCE COMPLEXE 6 1 Factori interdependenti in succesul unui proiect 6 2 Produsele program si evaluarea eficientei S i 6 3 Organizarea si conducerea eficienta a activitatii de informatica 6 4 Organizarea si conducerea functionarii, intretinerii si dezvoltarii sistemului informatic 6 5 Controlul proceselor din activitatea de monitorizare a sistemelor informatice Concluzii 6-1 6-1 6-3 6-8 6-15 6-27 6-36 4 CAPiTOLUL 7 PROiECTAREA UNUi SiSTEM FLEXiBiL si GENERiC DE EVALUARE A SiSTEMELOR iNFORMATiCE COMPLEXE 7 1 Descrierea datelor baza de evaluare si control 7 2 Ghidul de administrare general a rezultatelor autoevaluarii pentru cotarea sistemului evaluat pe unul din cele 5 nivele 7 3 Evaluarea si controlul riscurilor proiectelor 7 4 Avantajele sistemului flexibil de evaluare proiectat 7 5 Proiectarea modelului de date pentru evaluarea sistemelor informatice 7 6 Testarea modelului propus 7 7 Procedurile cheie ale sistemului proiectat Concluzii 7-1 7-4 7-15 7-18 7-30 7-43 C-1 B-1 Concluzii si propuneri Bibliografie 5 Scopul cercetarii Tehnologia informationala poate facilita atat integrarea, cat si coordonarea sarcinilor angajatilor Prin intermediul ei, angajatii pot interactiona intre ei mult mai coerent Teoreticienii managementului considera ca, pe masura ce tehnologia informationala este folosita pentru realizarea sarcinilor conducatorilor, numarul nivelurilor ierarhice ale organizatiei se va diminua inovatia tehnologica ofera organizatiilor posibilitatea dezvoltarii si cresterii profitului iata in continuare sapte reguli considerate de baza in ceea ce privste utilizarea noilor tehnologii (Woodall et al , 1988): 1 Tehnologia informationala este necesara pentru a obtine si a mentine avantajul competitional 2 Printre angajatii compartimentului de specialitate trebuie sa se numere un analist economic - care sa ofere solutii in ceea ce priveste sistemul informational 3 Planificarea necesarului de informatie trebuie sa faca parte din planul de afaceri al firmei si nu trebuie sa fie doar responsabilitatea compartimentului de specialitate Functiile realizate de tehnologia informatiilor trebuie sa ofere sprijin intregii organizatii, nu doar unor componente ale acestuia 4 integrarea functiilor Ti revine conducerii firmei si a compartimentului de specialitate 5 introducerea Ti se va face doar in acele zone ale firmei unde automatismele ce rezulta in urma acestor implementari nu vor fi costisitoare 6 Tehnologiile, nu doar cele informationale, au rolul principal in ciclul de viata al oricarui produs 7 Managementul schimbarilor tehnologice ar trebui sa fie una dintre prioritatile oricarei firme Scopul cercetarii este realizarea unui sistem generic de evaluare a sistemului informatic urmarind instituirea CELE MAi BUNE PRACTiCi (Best Practice) pentru planificarea activitatilor de realizare a S i complexe, organizarea acestora, achizitionarea si implementarea sistemelor, furnizarea si asigurarea suportului in exploatarea sistemelor informatice complexe, precum si monitorizarea performantelor pentru a asigura cǎ informatiile intreprinderii si tehnologia aferentǎ sprijinǎ obiectivele unitǎtii economice Managementul S i complexe dǎ astfel posibilitatea unitǎtilor economice de a primi avantajele depline privind informatiile sale, obtinand astfel beneficii maxime, profitand de oportunitǎti si castigand avantaje competitive Managerii se aflǎ frecvent in situatii in care trebuie sǎ ia in considerare o afacere in functie de resurse si cheltuieli pentru a mentine controlul asupra infrastructurii informationale Majoritatea intrebǎrilor sunt de genul: "Cat de departe ar trebui sǎ mergem si este costul justificat de beneficii?" Tinand cont de cresterea interconexiunilor si dependenta de T i in economia globala tot mai automatizata, managementul riscului si sigurantei sunt tot mai dependente de practicile specifice de management 6 in mediul economic complex, managerul este in continua cautare pentru informatie condensata si in timp real, tinand cont ca deciziile dificile trebuie luate in conditii de risc si chiar incertitudine, repede si cu sanse de succes Proiectarea si realizarea unui sistem de evaluare flexibil ofera avantajul ca fiecare organizatie va intelege propria performanta si va putea sa isi masoare propriul progres, dand de asemenea posibilitatea managerului de proiect sǎ evalueze corect si in timp gradul de realizare si indeplinire a sarcinilor fiecǎrei echipe de lucru: • • • • • • • • "Care este nivelul corect de control pentru propriul sistem informatic astfel incat acesta sa suporte, sa sprijine obiectivele unitatii economice?" Cat informatizǎm? Ce informatizǎm? Dispunem de resursele necesare? Cat de departe ar trebui sa mearga o unitate economica cu implementarea S i si este costul justificat? "Ce standarde internationale recunoscute exista si cum suntem noi plasati in relatie cu ele?" "Ce este privit ca "Best practice" in economie si cum sunt societatile plasate fata de acest "best "Bazandu-ne pe comparatii externe putem spune ca am luat precautii "rezonabile" pentru a pazi Este dificil sa raspundem si sa argumentam raspunsurile la aceste intrebǎri pentru cǎ instrumentele necesare realizǎrii unei astfel de evaluǎri nu sunt intotdeauna disponibile in managementul sistemelor informatice complexe este constant nevoie de instrumente pentru control pe nivele si autoevaluare ca rǎspuns a necesitǎtii de a sti ce sǎ facǎ managerul de proiect organizatie intr-o manierǎ eficientǎ Cu ajutorul produsului proiectat managerul de proiect managerul organizatiei poate evalua stadiul de atingere a obiectivelor propuse Aceasta inseamna: • o evaluare relativa a pozitiei organizatiei • o maniera pentru a decide eficient incotro se indreapta organizatia • un instrument pentru masurarea progresului proiectelor comparativ cu scopul Cotarea se poate realiza pe 5 nivele ca si in standardul Cobit, de la inexistent, la optimizat, in modul urmator (Fig R-1): 0 - inexistent - absenta completa a oricarui proces recunoscut Organizatia nici macar nu a recunoscut ca exista o problema pentru a putea fi adresata 1 - initial - exista dovezi ca organizatia a recunoscut problema si trebuie sa fie adresata Totusi nu sunt procese standardizate, dar in schimb sunt abordari ad-hoc care tind sa fie aplicate pe un caz particular sau pe principiul "caz cu caz" practice"?" informatiile?" 7 2 - repetabil - procesele au fost dezvoltate la stadiul in care proceduri similare sunt urmate de diferiti angajati Nu exista un antrenament formal sau o comunicare a procedurilor standard, responsabilitatea fiind individuala 3 - definit - procedurile au fost standardizate si documentate, respectiv comunicate prin antrenament, prin exercitiu formalism al practicii existente 4 - administrat - este posibil sa monitorizam si sa masuram performanta cu proceduri si sa se ia atitudine cand procesele nu lucreaza eficace Procesele sunt sub o constanta imbunatatire si produc o buna practica Automatizarea si instrumentele corespunzatoare sunt utilizate intr- un mod limitat si fragmentat 5 - optimizat - procesele au fost rafinate la un nivel de "best practice" bazandu-se pe rezultatele obtinute, imbunatatind continuu aceste rezultate si cooperand cu alte organizatii Sistemele informatice complexe sunt utilizate intr-un mod integrat pentru a automatiza fluxul, a imbunatati calitatea si eficacitatea, determinand adaptarea rapidǎ a unitatii economice Urmarirea acestor procese este totusi individuala si este improbabil ca deviatiile sa fie depistate Procedurile insasi nu sunt sofisticate, dar exista un inexistent 0 initial 1 repetabil 2 definit 3 administrat 4 optimizat 5 Fig R-1- Scalǎ de masurare Modelul de maturitate descris pentru fiecare proces este o cale de a masura cat de bine sunt dezvoltate procesele manageriale Acest model poate ajuta profesionistii sa explice managerilor unde exista deficiente manageriale privind T i si sa fixeze tintele astfel incat sa poata compara practicile de control ale propriei organizatii cu cele mai bune exemple "best practice" Un astfel de model ar putea fi practic aplicat si in mod rezonabil usor de inteles si de manipulat ca instrument de control si autoevaluare in managementul sistemelor informatice complexe Trebuie sǎ tinem cont de faptul cǎ exprimarea riscului in cuvinte si un control potrivit a activitatilor din cadrul S i complexe sunt in mod inerent subiective si imprecise Avantajul insa pentru un model complet de evaluare este faptul ca se bazeaza pe procese identificate, care ofera usurinta in plasarea activitatilor pe o scala de la 0 la 5 si posibilitatea de a aprecia ce presupune o imbunatǎtire a performantelor Scala poate demonstra cum un proces evolueaza de la stadiul de inexistent la stadiul optimizat Bineinteles ca aceasta presupune cresterea riscurilor si cresterea eficientei Putem stabili cu ajutorul unui sistem de evaluare flexibil cat de bine dezvoltat este un proces din punct de vedere al T i Un astfel de model de evaluare generic ar ajuta managerul de proiect sa explice 8 argumentat managerului unitatii economice unde exista deficiente in dezvoltarea S i si sa stabileasca tinte privind nivelul la care doreste sa se coteze comparand indicatorii proprii cu exemplele de "best practice" De asemenea permite stabilirea stadiului de realizare a proiectelor si controlul acestora, clasificarea proiectelor in functie de cost, risc, eficienta O stabilire corecta a nivelului de maturitate a unui sistem informatic existent trebuie sa tina cont si de obiectivele economice ale unitatii si de mediul in care opereaza Un punct strategic pentru managerul de proiect pentru a imbunatati controlul si securitatea ar putea consta in analiza standardelor internationale aparute si in practicile "best-in-class" Practicile aparute astazi pot deveni nivelul asteptat de performanta pentru maine si de aceea sunt utile pentru a stabili stadiul organizatiei peste timp Evaluarea este construita pe niveluri de analiza dupa cum urmeaza (tabelul R-1): • • • • • • Nr Crt 1 intelegerea, evaluarea riscurilor si controlul rezultatelor; instruirea si comunicarea aplicate pe rezultate; procese si practici care sunt implementate; tehnici de automatizare pentru a face procesele mai eficace si eficiente; satisfacerea politicii interne, a legilor si regulamentelor; tipul si numarul de angajati experti Acord, dar neconstientizare Recunoastere Pregatire si comunicare Comunicare sporadica pe baza rezultatelor Procese si practici Abordari ad-hoc ale procesului si practicii Similar Comun dar proces aparut intuitiv instrumente comune au aparut inconsistenta in monitorizarea rezultatelor izolate Tehnici si automatizari Acord Expertiza 2 Neconstientizare Comunicare pe ansamblu de rezultate si necesitati 3 intelegerea necesitatii de a actiona Pregatirea informala sustine initiativele individuale Practicile sunt definite, standardizate si documentate; incepe o impartire a practicilor mai bune Setul de instructiuni este standardizat, practicile disponibile sunt curent folosite si aplicate Monitorizare inconsistenta, posibilitate de masurare, balante de punctaje adoptate ocazional, cauzele sunt analizate intuitiv implicarea specialistilor iT in procesele de afaceri 4 intelegerea cerintelor in intregime Pregatirea formala sustine un program condus Proprietatea procesului si responsabilitatile sunt fixate, procesul este Tehnici mature sunt folosite, instrumente standard sunt aplicate, Balantele de punctaje sunt utilizate in anumite cazuri, implicarea tuturor expertilor interni pe domenii 9 solid si complet, practicile interne cele mai bune sunt aplicate utilizarea tehnologiei se realizeaza dupa tactici bine stabilite exceptiile sunt notate, analiza este standardizata 5 Privire progresiva a acordului Pregatirea si comunicarea sustine "best practice-urile" externe si utilizeaza experienta Practicile externe cele mai bune sunt aplicate Tehnici sofisticate sunt dezvoltate, extinse, sunt optimizate utilizari ale tehnologiei Balanta de punctaje este aplicata global, exceptiile sunt consecvent notate si corectate pentru functionare, analiza este totdeauna aplicata Utilizarea expertilor externi si a specialistilor in management Tabelul R-1 Modalitati de aplicare a practicilor activitatilor desfǎsurate pe cinci niveluri Daca ar fi sa concluzionam, un instrument de evaluare si control: • • • • • refera cerintele din afaceri si aspectele posibile pe diferite nivele de maturitate; conduce la comparatii pragmatice; ofera posibilitatea de a masura diferentele intr-o maniera facila; conduce la analize pentru a determina ce trebuie facut pentru a realiza un nivel ales; aplica progresiv factorii de succes, desi nu exista un specific ce poate fi intotdeauna aplicabil, definandu-se de cele mai multe ori un standard "apropiat", adecvat Factori de succes pot fi considerati un ghid pentru implementarea controlului T i si proceselor sale Acestia administreazǎ posibilitǎtile si instrumentele si trebuie sǎ fie focalizati si orientati pe actiuni, stabilind resursele care au importantǎ primarǎ in procesul luat in considerare 10 CONtiNUTUL TEZEi Realizarea unui sistem informatic este o activitate complexa si de durata, ce antreneaza mari resurse materiale, umane si de timp Planificarea si coordonarea intregii activitati privind realizarea proiectului informatic revine managerului de proiect Managerul de proiect va trebui sa decida care este cel mai bun plan si cea mai buna structura de control pentru proiect Este cunoscut faptul ca emiterea deciziilor fara o urmarire a realizarii acestora, de cele mai multe ori ramane fara efect La fel si in activitatea de planificare vor aduce putine beneficii daca in continuare activitatile planificate nu sunt urmarite si controlate Controlul este o continua estimare a progreselor realizate in dezvoltarea proiectului, in raport cu anumite criterii, subimpartite pe categorii de obiective Gradul de complexitate a proiectelor sunt factori care determina metoda de control si raportare in situatia unor proiecte complexe cu durata de realizare de doi-trei ani si cu un efectiv de peste 20 de persoane sunt necesare instrumente flexibile de control si mentenanta Un proiect complex impune cu necesitate niveluri intermediare de conducere si raportare Problema deosebita pe care o ridica proiectele complexe este aceea de a asigura calitatea software-ului in general toate metodele, tehnicile si instrumentele folosite in activitatile de planificare si contros a proiectelor presupun realizarea in avans a urmatoarelor activitati: intocmirea listei activitatilor implicate in proiect, stabilirea succesiunii logice de realizare a activitatilor, estimarea duratei fiecarei activitati, stabilirea activitatilor ce se pot executa in paralel Gradul de complexitate a proiectelor este un factor care poate determina metoda de control si raportare, precum si instrumentele utilizate in control Sistemele informatice sunt produse ale tehnologiei informatiei Activitatile de realizare si intretinere a unui sistem informatic trebuie sa se desfasoare eficient, adica efortul depus sa fie mai mic decat eectul obtinut Trebuie insa sa tinem cont intotdeauna de contextul informatic in care se realizeaza si se dezvolta un sistem informatic, adica de suportul hardware si software utilizat, de tehnologiile informatice existente introducerea unui sistem informatic presupune cheltuieli importante, care trebuie recuperate in timp Teza cuprinde sapte capitole (macheta R-1) Primele doua capitole sunt dedicate cercetarii privind natura si organizarea managementului de proiect, precum si specificarii calitatilor managerului de proiect Capitolele 3,4,5,6 cuprind contributii privind modalitatile de perfectionare a activitatilor de management a proiectelor sistemelor informatice, pornind de la activitatile specificate in standardul de evaluare Cobit Capitolul 7 contine descrierea sistemului flexibil de evaluare privind administrarea activitatilor referitoare la managementul proiectelor sistemelor informatice complexe Proiectarea acestui instrument permite managerului de proiect sa evalueze corect oportunitatile si sa ia decizii calitativ superioare 11 Macheta R-1 Structura tezei de doctorat MANAGEMENTUL PROiECTELOR SiSTEMELOR iNFORMATiCE COMPLEXE Motivatia si scopul alegerii temei de cercetare Capitolul 1 Natura si organizarea managementului de proiect Capitolul 2 Managerul proiectului si calitatile acestuia Capitolul 3 Managementul activitatii de planificare a proiectelor S i Capitolul 4 Managementul activitatii de achizitie a echipamentelor, solutiilor informatice si implementarea acestora Capitolul 5 Managementul activitatii de implementare a S i si sustinere prin documentatii de proiect Capitolul 6 Managementul activitatii monitorizare a proiectelor S i Capitolul 7 Proiectarea unui sistem flexibil si generic de evaluare a sistemelor informatice complexe Disponibilitatea variantelor de formulare a criteriilor de evaluare Fundamentare riguroasa a deciziilor managerului de proiect Cresterea productivitatii activitatii operationale si de conducere a proiectelor complexe Concluzii Timp real de obtinere a informatiilor privind stadiul de dezvoltare a S i imbunatatirea formai de prezentare a rezultatelor Utilizarea sistemului proiectat in autoevaluare imbunatatirea calitatii deciziei si a rezultatelor obtinute Capitolul 1 contine referiri privind notiunea de proiect, trasaturile principale ale proiectelor si managementul prin proiecte intelegerea obiectivelor sistemelor informatice, a functiilor sistemelor informationale, a rolului sistemelor informatice in reingineria proceselor economice este importantǎ in proiectarea unui sistem de administrare a proiectelor sistemelor informatice complexe Toate proiectele au in comun aceeasi caracteristica- proiectarea ideilor si activitatilor si transformarea lor in noi realizari Elementul de risc si incertitudine mereu prezent arata ca evenimentele si sarcinile necesare pentru realizarea proiectului nu pot fi niciodata prevazute cu o acuratete absoluta 12 Proiectarea sistemelor informatice complexe este initiata de multe surse diferite pentru mai multe motive Unele din proiectele sugerate vor supravietui unor variate stadii de evaluare, altele nu Oamenii de afaceri sugereaza proiectarea unor astfel de sisteme din doua motive: • • Deoarece experimenteaza probleme care ii conduc spre solutii informatice si Deoarece ei recunosc oportunitatile pentru imbunatatirea performantelor prin upgradare, modificare sau instalare de noi sisteme cand ele se manifesta Un sistem complex este, printre altele, compus din elemente eterogene, legate prin interactiuni puternice, dar fluctuante Calitati emergente apar din organizarea tuturor activitatilor si pot reactiona asupra unor parti componente Este cazul proiectelor sistemelor informatice complexe care suporta multiple riscuri, a caror dezvoltare dificila trebuie prevazuta cu precizie Un sistem complex este prin definitie un sistem care este ireductibil la un model finit, la fel de complicat, stochatic, sofisticat, indiferent de model si de talia lui, de numarul de componente si de intensitatea interactiunilor dintre ele Un proiect are doua cauze esentiale de complexitate Prima se refera la timp, problema la care ne referim detaliat in capitolul al-3-lea, a doua cauza fiind reprezentata de participantii din cadrul proiectului, care este inainte de toate, o realizare umana, fiind cunoscut faptul ca un model nu este niciodata identic cu munca efectiva Capitolul 2 prezinta pozitia si rolul managerului de proiect intr-o organizatie, rolul deciziilor individuale si rolul deciziilor de grup Se prezinta in detaliu calitatile managerului de proiecte de sisteme informatice Planificarea si coordonarea intregii activitati privind realizarea proiectului informatic revine managerului de proiect Acesta reprezinta persoana cea mai autorizata sa faca toate schimbarile si sa ia toate masurile necesare pentru ducerea la bun sfarsit a proiectului Managerul de proiect va trebui sa decida care este cel mai bun proiect si sa aleaga structura de control pentru proiect Succesul sau va fi determinat de termenul cat mai scurt de livrare a produsului finit, cu un buget minim, de buna calitate si functionalitate Managerii buni realizeaza ca recunoasterea simptomelor problemelor, diagnosticarea problemelor si apoi confruntarea cu acestea sunt solutii imperative pentru afacere daca se doreste mentinerea in functionare a afacerii la cel mai inalt potential Problemele ies la iveala in cele mai diferite modalitati Feedback-ul poate oferi informatii despre decalajul dintre performanta actuala si cea dorita Am putea spune ca feedback-ul scoate in evidenta problemele Deasemenea feedback-ul din mediul exterior este extrem de important si nu trebuie ignorat Cele trei elemente cheie pentru a putea fi indeplinit, realizat, executat un proiect sunt: • • Fezabilitatea tehnica - adǎugata prezentului sistem, tehnologie disponibila pentru satisfacerea cerintelor uilizatorilor Fezabilitatea economica - timpul de realizare a sistemului, costul de planificare al proiectului, costul timpului de studiu pentru angajati, costul estimat al echipamentelor hardware, costul pachetelor software sau costul de dezvoltare a software-ului • Fezabilitatea operationala - functionarea sistemului dupa ce a fost instalat, utilizarea sistemului proiectat Pentru aprobarea oricarui proiect trebuie, ca intr-o prima etapa, sa existe nevoi identificate Aceasta identificare nu este usoara pentru ca, in general, nu putem specifica o necesitate stiintifica decat printr-o 13 aproximare a rezultatului dorit Urmeaza apoi compararea nevoilor identificate cu preturile de cost estimate, obiectivul fiind justificarea investitiei Mai este necesar ca proiectul sa fie realizabil din punct de vedere tehnic intrebarea este daca tehnologia actuala permite realizarea acestuia, iar in cazul in care exista aceste tehnologii, daca sunt accesibile, tinand cont de cunostinte, competente, bugete, resurse umane si materiale Managerul de proiect este responsabil atat de corectitudinea alocarii resurselor, cat si de urmarirea folosirii lor cu scopul obtinerii rezultatului convenit Cerinta pentru echipele de management de a gandi in termeni de proces si nu in diviziuni si unitati functionale Daca companiile vor sa concureze cu succes ele trebuie sa-si modifice procesele frecvent, sa le adapteze schimbarilor pe piatǎ si sa le incorporeze noi instrumente care sa adreseze aceste schimbari Emiterea deciziilor fara o urmarire a realizarii acestora, de cele mai multe ori raman fara efect La fel si in activitatea de planificare deciziile vor putea aduce putine beneficii daca activitatile planificate nu sunt urmarite si controlate Controlul presupune o continua estimare a progreselor realizate in dezvoltarea proiectului, in raport cu anumite criterii in general, aceste criterii sunt timpul, calitatea si bugetul Gradul de complexitate a proiectelor sunt factori care determinǎ metoda de control si raportare tinand seama de dimensiunea si complexitatea intregului proiect este posibil ca managerul acestuia sa nu poata face controlul proiectului sub aspect calitativ, situatie in care recurge la numirea unui responsabil cu controlul calitativ al proiectului Un proiect complex impune cu necesitate niveluri intermediare de conducere si raportare Capitolul 3 este structurat pe descrierea modalitatilor de administrare a activitatilor de planificare si organizare din cadrul proiectelor informatice insasi transpunerea in practica a planului unui proiect necesita o serie de actiuni specifice a caror planificare in timp si evaluare din punct de vedere a cheltuielilor si resurselor este tot atat de importanta ca si planificarea activitatilor constitutive ale proiectului Este cunoscut faptul ca inceputurile unui proiect informatic sunt activitati creative, ca acestea nu sunt rezultatul unor miscari tectonice sau a unor fulgere primordiale, ci rezulta dintr-o serie de discutii si consultari in aceasta faza trebuie identificate problemele si gasite solutiile Orice problema nesolutionata corespunzator in aceste momente, ar putea genera mai tarziu alte probleme Asemanator construirii unei cladiri, o eroare in procesul turnarii fundatiei poate determina ulterior prabusirea constructiei La fel, daca in stadiul de planificare a unui proiect informatic exista arii carora nu li s-a acordat suficienta atentie, aceasta poate avea efecte dezastruoase in realizarea si implementarea proiectului Controlul proceselor de PLANiFiCARE si ORGANiZARE ofera managerului de proiect perspective multiple privind evaluarea eficacitatii, eficientei, confidentialitatii, integritatii, disponibilitatii, acordului si conformitatii proceselor de: definire a unui plan strategic, definire a arhitecturii informatiei, determinare a directiilor tehnologice, definire a organizarii privind T i si a relatiilor care se stabilesc, de administrare a investitiilor, de stabilire a tintelor si directiilor de management Planificarea proiectelor S i complexe include toate activitatile cerute pentru: • • • • a selecta echipa de lucru, asignarea sarcinilor membrilor echipei potrivit calitatilor acestora, estimarea timpului necesar pentru realizarea sarcinilor, programarea proiectului astfel incat sarcinile sa fie indeplinite in timp inceperea planificarii unui sistem informatic complex inseamna realizarea unui proiect spart in patru 14 majore activitati: analiza, proiectare, implementare, mentenanta Aceste activitati sunt descompuse apoi in alte activitati detaliate carora li se asociaza si timpul de realizare Cateodata partea cea mai dificila in planificarea unui proiect este pasul crucial de a estima timpul pentru realizarea fiecarei sarcini care contribuie la indeplinirea proiectului Nu exista alt substituit decat experienta pentru estimarea cerintelor de timp Utilizarea calculatorului in programarea proiectelor a devenit acum practica si directa Microsoft Project este un bun exemplu pentru un program performant in aceasta directie Exista un singur motiv plauzibil pentru care se executa un proiect si anume: proiectul este realizat pentru a genera sau economisi bani Justificatia proiectului reprezinta o analiza a costurilor si a veniturilor, care ne arata daca proiectul aduce profit, adauga valoare Estimarea costurilor proiectului pe categorii va fi facuta mai corect daca se respecta cateva reguli de baza: • • • • Estimarea costurilor cu personalul trebuie sa se bazeze pe performantele medii ale acestuia, iar planifcarea lor trebuie sa tina cont de timpii de executie a lucrǎrilor Toate estimǎrile sunt facute de managerul de proiect cu ajutorul nemijlocit al celor calificati informati Revizuirea estimǎrilor este necesara si trebuie sa fie facuta de catre persoane avizate in domeniul costurilor Planificarea activitatilor tine cont de disponibilitatea in timp a resurselor clientului Controlul activitatilor de planificare si organizare in cadrul proiectelor S i inseamna utilizarea feedback-ului pentru a monitoriza proiectul, inclusiv compararea stadiului planificat pentru proiect cu stadiul actual de evolutie in completare, controlul inseamna luarea unor decizii adecvate pentru a accelera sau reprograma activitatile pentru a finaliza la timp, in acelasi timp cu motivarea membrilor echipei pentru indeplinirea adecvata a sarcinilor, cu incadrare in bugetul stabilit O data cu managementul timpului si resurselor financiare, trebuie administrate si resursele umane Aceasta inseamna in primul rand comunicare cu membrii echipei care au fost selectati pentru competenta si compatibilitatea lor Scopurile pentru productivitatea proiectului trebuie setate si membrii echipei trebuie sa fie motivati pentru a le atinge Strategiile de comunicare pentru managementul echipei de lucru sunt pe larg descrise in capitolul 5 in urma evaluarii efectuate se poate stabili cu usurinta expunerea la risc in ceea ce priveste activitatile de planificare si organizare a proiectelor sistemelor informatice complexe, pe criterii de informatie Capitolul 4 prezinta managementul activitatilor de achizitie si implementare din cadrul proiectelor sistemelor informatice Se precizeaza ca achizitiile nu inseamna doar o simpla cumparare a celor necesare proiectului, ci inseamna mai mult: transportul materialelor de la furnizor la companie sau la locul proiectului; organizarea transportului si a documentelor; pregatirea deplasarii personalului; angajarea specialistilor sau 15 consultantilor; inchirierea uzinelor sau echipamentelor care nu sunt disponibile la compania finantatoare Se realizeaza o detaliere pe procesele Cobit corespunzatoare activitatilor de achizitie si implementare astfel: identificarea solutiilor automatizate, achizitionarea si mentinerea aplicatiilor soft, achizitionarea si mentinerea infrastructurii tehnologice, dezvoltarea si mentinerea procedurilor, instalarea si acreditarea sistemelor, managementul schimbarilor Proiectarea unui sistem care este functional, estetic si usor de intretinut este critic de important Este foarte important sa ascultam ce doresc beneficiarii, pentru a stabili cat de mult din fiecare resursa este necesar Finalizarea tuturor activitatilor proiectului la timp cu toate restrictiile care survin, este admirabila, dar aceasta inseamna asa cum am subliniat pana acum un bun management de proiect, deci un control eficient al stadiului fiecarei activitati si adaptarea la scopul propus si strategia unitatii Conducerea unui proiect nu inseamna doar adunarea simpla a tuturor activitatilor si resurselor necesare inseamna de asemenea ca managerul de proiect este pus fata in fata cu o serie de "negocieri" Uneori costurile pot fi hotarate, influentate, in alte conjucturi timpul poate fi cel mai important factor Trebuie timp pentru a asculta cerintele beneficiarilor, timp pentru codificare, timp pentru proiectare, timp pentru testare Se poate crea un soft de calitate, dar sa esueze in receptarea lui Se poate proiecta un sistem perfect, dar sa nu fie timp suficient disponibil pentru a-l testa Timpul este dificil de administrat Daca ne gasim in situatia "timp indisponibil" ce facem? Mai mult timp nu intotdeauna inseamna obtinerea rezultatelor pe care le dorim Mesajul este sa fim atenti sa nu extindem termenul limita Capitolul 5 prezinta in detaliu managementul activitatilor de asistenta si suport din cadrul proiectelor sistemelor informatice Un management de succes se concentreaza pe comunicarile efective in mediul proiectului ca o prioritate de varf Evaluarea activitatii de asistenta si suport se realizeaza pe baza proceselor de definire a nivelelor de service, de conducere a echipei de service, de management a performantei, de asigurare a service-ului continuu, a securitatii sistemului, de identificare si alocare a costurilor pentru asistenta si suport, de educare si antrenare a utilizatorilor, de asistare si sfatuire a clientilor, de management a configuratiei, de administrare a problemelor si incidentelor, de management a datelor (completitudine, acuratete, validitate, actualizare, stocare), facilitatilor si operatiilor Toate incercarile de a defini leadershipul graviteaza in jurul faptului ca leadershipul este diferit de management, iar leaderii se deosebesc de manageri prin anumite calitati si abilitati pesonale intr-o companie, un conducator eficient dezvolta o strategie asupra viitorului organizatiei, care ia in considerare adevaratele interese pe termen lung ale tuturor celor implicati in organizatie Apoi, conducatorul dezvolta o strategie de indreptare in acea directie, obtine sprijin de la angajati pentru atingerea acelui scop, dupa care motiveaza oamenii pentru indeplinirea obiectivului Capitolul 6 contine descrierea detaliata a solutiilor de administrare a activitatii de monitorizare a proiectelor sistemelor informatice in orice proiect de sistem informatic, exista patru factori interdependenti: cost, calitate, timp, risc Nu este posibil sa avem maxim de eficacitate pe toti cei patru factori Adica nu putem avea un sistem construit cu putini bani, cu calitate ridicata, construit repede si cu risc mic de esec Cele mai multe discutii ale acestor factori ii cuprind numai pe primii trei Este posibil sǎ se construiascǎ un sistem de calitate rapid, cu costuri relativ mici Oricum riscul ca un astfel de sistem sǎ esueze creste dramatic 16 Pentru a asigura succesul unui sistem, trebuie sa luam in considerare cativa factori: 1 Sa se faca auditul fiecarui produs major si sa se verifice acuratetea si corectitudinea 2 Sa se monitorizeze cu atentie sprijinul pe care managementul il acorda proiectului Sa ne asiguram ca managerii sunt constienti de progresul echipei 3 Sa ne asiguram de conducerea tehnica potrivita pentru proiect Capitolul 7 contine aspectele semnificative ale realizarii unui sistem de evaluare pentru managementul proiectelor sistemelor informatice Managerii au nevoie sǎ inteleagǎ impactul tehnologiei si aplicatiilor informatice asupra afacerii pe care o conduc, tinand cont cǎ T i le asigurǎ necesitatea de a fi informati si necesitatea de selectare in timp real a informatiei Afacerile azi sunt tot mai mult organizate, conduse si automatizate in jurul seturilor de procese si a relatiilor dintre acestea Aceste procese includ dezvoltǎri si productii de produse si servicii, administrarea interactiunilor cu clientii si sustinerea proceselor si resurselor umane Propunem identificarea de solutii pentru planificarea cu succes a activitǎtilor specifice sistemelor informatice si managementul acestora in concordantǎ cu strategia organizatiei, precum si stabilirea principiilor de evaluare si control a activitǎtilor desfǎsurate tinand cont de criteriile de informatie: eficacitate, eficientǎ, disponibilitate, integritate, confidentialitate, acord, sigurantǎ si tinand cont de resursele financiare si umane, printr-un sistem flexibil de evaluare Managerii au nevoie sa inteleaga impactul tehnologiei si aplicatiilor informatice asupra afacerii pe care o conduc, tinand cont de necesitatea de selectare in timp real a informatiei Afacerile azi sunt tot mai mult organizate, conduse si automatizate in jurul seturilor de procese si a relatiilor dintre acestea Aceste procese includ dezvoltari si productii de produse si servicii, administrarea interactiunilor cu clientii si sustinerea proceselor si resurselor umane Obiectivul acestui capitol este de a demonstra ca un sistem flexibil de evaluare a S i este un instrument deosebit de avantajos pentru managerii de proiect, prin informatiile pe care le pune la dispozitie Acest instrument poate constitui un suport informational deosebit de util managerilor de la orice nivel de conducere pentru : • • • • analiza datelor, efectuarea de comparatii, stabilirea masurilor, stabilirea prioritatii proiectelor in functie de impactul asupra organizatiei si riscurile pe care le implica informatiile sunt stocate in baze de date pentru a putea realiza operatii complexe, accesul la aceste informatii realizandu-se in functie de prioritatile si abilitatile managerului Aplicatia devine eficientǎ prin metodele de proiectare si de programare utilizate in realizarea sistemului de evaluare, permitand interpretarea si manipularea datelOR in functie de capabilitatile fiecarui utilizator Se pot descrie astfel criterii de evaluare capabile sa inteleaga contextul, sa inteleaga mediul utilizatorilor, sa respecte domeniul de aplicare 17 Sistemul poate fi adaptat modului de lucru al fiecarui manager de proiect si strategiei organizatiei, resurselor financiare si umane de care dispune organizatia Stabilirea principiilor de evaluare si control a activitatilor s-a realizat dupa urmatoarele criterii de informatie: eficacitate, eficienta, integritate, confidentialitate, valabilitate, conformitate, increderea in informatie Este un sistem care permite managerului de proiect sa stabilesca criteriile de evalure si sa se concentreze asupra performantelor in adminstrarea activitatilor specifice sistemelor informatice Controlul activitatilor este esential pentru realizarea proiectelor Este de apreciat rolul fiecarui proces identificat in standardul Cobit pentru realizarea proiectului final si stabilirea stadiului curent al organizatiei, prin gruparea proceselor in patru activitati (Fig 7-1): • Planificarea si organizarea S i complexe 1 Definirea unui plan strategic de informatizare 2 Definirea arhitecturii informationale 3 Determinarea directiilor tehnologice 4 Definirea structurii sistemului si a relatiilor dintre componente 5 Managementul investitiilor 6 Comunicarea cerintelor si directiilor de management 7 Managementul resurselor umane 8 Asigurarea acordului cu cerintele beneficiarului 9 Evaluarea riscurilor 10 Managementul subproiectelor S i 11 Managementul calitatii • Achizitia de bunuri si servicii in cadrul proiectului 1 identificarea solutiilor de automatizare 2 Realizarea si mentinerea aplicatiilor soft 3 Achizitionarea si mentinerea infrastructurii tehnologice 4 Dezvoltarea si mentinerea procedurilor 5 instalarea si acreditarea sistemelor 6 Managementul schimbarilor din sistem • Furnizarea sistemului proiectat si realizarea documentatiilor de proiect 1 Definirea si managementul intretinerii sisstemelor 2 Conducerea echipei de service 3 Managementul performantei si capacitatilor 4 Asigurarea service-ului continuu 5 Asigurarea securitatii sistemului 18 6 identificarea si alocarea costurilor de intretinere 7 Educarea si instruirea utilizatorilor 8 Asistarea si sfatuirea beneficiarilor 9 Managementul configuratiei sistemelor 10 Managementul problemelor si incidentelor 11 Managementul datelor 12 Managementul facilitatilor 13 Managementul operatiilor • Monitorizarea S i complexe 1 Monitorizarea proceselor 2 Evaluarea adaptabilitatii controlului intern 3 Asigurarea independentei sistemului 4 Sustinerea independentei sistemului in capitolul Concluzii sunt prezentate contributiile autoarei privind managementul proiectelor sistemelor informatice complexe ideea a luat nastere pornind de la constatarea ca proiectarea unui sistem informatic incepe de fapt prin identificarea problemelor si oportunitatilor pentru a imbunatati o afacere intr- un mediu economic deosebit de complex Aceste probleme si oportunitati apar ca urmare a dorintei organizatiilor de a se adapta schimbarilor, un loc central ocupandu-l prelucrarile informationale Datorita gradului mare de flexibilitate se scoate in evidenta importanta deosebita a modelului de evaluare Pornind de la observatia ca o caracteristica a fiecarei etape este aceea de a se finaliza cu o verificare si o validare in scopul eliminarii unor eventuale anomalii care pot sa apara se insista pe asigurarea unei bune securitati a tehnologiei informationale si controlul practicilor de administrare a proiectelor sistemelor informatice complexe in aceste conditii se pot cauta noi solutii manageriale care sa integreze : Controlul timpului, Controlul costurilor, Controlul calitatii echipei de lucru, Controlul rezultatelor obtinute La toate acestea se adauga o mare flexibilitate si adaptabilitate la schimbare a sistemului propus Se scoate in evidenta rolul managerului de proiect in planificarea, coordonarea si controlul activitatilor proiectelor sistemelor informatice complexe Sistemul proiectat este un instrument necesar atat managerului de proiect, cat si managerului unitatii economice pentru a obtine si mentine avantajul competitional, pentru planificarea necesarului de informatii, pentru managementul schimbarilor tehnologice, care ar trebui sa fie una din prioritatile oricarei firme Se motiveaza necesitatea unui sistem flexibil de evaluare pentru planificarea si organizarea activitatilor din cadrul proiectelor sistemelor informatice complexe, pentru achizitionarea si implementarea sistemelor informatice, pentru activitatile de asistenta si suport, respectiv pentru monitorizarea performantelor sistemelor informatice Pentru controlul proiectelor sistemelor informatice se dezvolta o metoda de punctare 19 astfel incat orice organizatie sa se coteze singura pe o scala de la inexistent la optimizat Acest sistem de evaluare ofera avantajul ca fiecare organizatie va intelege propria performanta privind tehnologia informationala si va putea sa isi masoare propriul progres Principiile se aplica la nivel informational, strategic, tactic si administrativ Sistemul proiectat permite managerului de proiect sa monitorizeze activitǎtile si costurile, sa evalueze periodic progresul realizat, sa introduca unele actiuni de corectare daca e cazul astfel incat proiectul sa corespunda strategiei manageriale, sa fie planificat in conformitate cu resursele, sa contribuie la atingerea scopului afacerii, sa fie practic O monitorizare regulata asigura o reactie dinamica la schimbarile care apar, astfel incat managerul de proiect sa aiba la dispozitie informatii pertinente in baza carora sa poata sa conceapa politicile organizatiei Este foarte important ca managerul sǎ stabileascǎ scopuri tangibile, activitǎti ce sunt posibil de administrat in limitele resurselor Termene de finalizare nerealiste, adǎugare de personal nedorit pentru un proiect si neutilizarea personalului expert sunt motive de esuare a unui proiect Solutia informaticǎ propusǎ evidentiaza functionalitatea si usurinta in utilizare a catorva procese fundamentale, precum si flexibilitatea in utilizare Aplicatia este capabilǎ de interactiune, impǎrtirea aplicatiilor, precum si interactiuni asincrone, spatii de lucru impǎrtite Conceptualizarea organizatiei in termeni de procese de inalt nivel, permite managerilor sǎ dezvolte mǎsuri pentru a determina succesul proceselor si pentru a compara rezultatele lor cu cele ale competitorilor Este de asemenea un mod ideal de a mentine un focus puternic pe clienti si necesitǎtile lor si de a structura relatiile cu partenerii si furnizorii Procesele furnizeazǎ de asemenea o cale de a organiza resursele T i si de a acorda prioritate sarcinilor T i Sunt cheia care asigurǎ cǎ investitiile in T i sprijinǎ strategiile unitǎtilor si garanteazǎ o rezonabilǎ recuperare a investitiilor Sistemul proiectat este un instrument util managerului de proiect pentru ca: ofera un cadru generalizat al proceselor de evaluare; este o modalitate de evaluare sau auto-evaluare cu criterii flexibile; este o alternativa pentru analiza complexa a rezultatelor evaluarii; poate sa serveasca ca "best practice" pentru standardizari si cercetari viitoare Majoritatea deciziilor economice au la baza informatii de natura financiara Dar, in calitate de decident, a avea informatii la momentul oportun nu reprezinta totul Aceste informatii trebuie sa mai fie si de incredere Necesitatea unor evaluari competente si independente este tot mai mare Sistemul de evaluare propus este un instrument de lucru care permite: sa se verifice daca sunt intrunite conditiile necesare pentru a se asigura echilibrul unei organizatii; sa se instrumenteze stapanirea dezordinii, adaptarea la schimbari; sa se evalueze gradul de securitate si riscurile pe care le poate intampina o firma 20 O astfel de evaluare in cazul S i este foarte utilǎ Obiectivele oricarei institutii si maniera in care acestea sunt atinse depind de aptitudinile si stilul de conducere al managerilor integritatea acestora si atasamentul fata de valorile etice sunt reflectate de actiunile si judecatile de valoare puse in practica Valorile etice ale unei organizatii nu pot fi mai bune decat angajatii (includ aici si posturile de conducere) ce le creeaza, le pun in practica si le supravegheaza! Aceasta deoarece exista anumiti factori organizationali care contribuie la proliferarea actiunilor frauduloase, cum ar fi: • • • inexistenta sau ineficienta controalelor in cadrul organizatiei; descentralizarea excesiva si ineficienta sistemului de raportare; sanctiunile acordate unor angajati si care nu au fost aduse la cunostinta intregii organizatii Dar numai etica angajatilor nu este de ajuns Competenta acestora este un alt element esential al mediului controlului Competenta, tradusa in termeni de cunostinte si aptitudini necesare fiecarui post functie, trebuie specificata de catre conducatori Este in interesul organizatiei sa aiba angajati cat mai buni Filosofia manageriala si stilul de conducere afecteaza modul in care este administrata orice organizatie, indiferent de domeniul in care opereaza Putem include in aceasta categorie factori precum: asumarea riscurilor, politicile si procedurile instituite, delegarea responsabilitatilor, atitudinea fata de raportarile financiare Mediul controlului este puternic influentat si de gradul in care angajatii constientizeaza rolul pe care il au in atingerea obiectivelor organizatiei in final, structura organizationala reprezinta cadrul general in care activitatile necesare pentru a atinge obiectivele propuse vor fi planificate, executate, controlate si monitorizate Cel mai adesea ea este rezultatul filosofiei manageriale si poate fi centralizata, descentralizata sau structurata pe o baza functionala, in raport cu marimea organizatiei si natura activitatilor acesteia Pe urmatorul nivel se situeaza evaluarea riscurilor Organizatia trebuie sa constientizeze riscurile si sa fie capabila sa le faca fata Activitatile si riscurile asociate acestor activitati trebuie evaluate si ierarhizate astfel incat organizatia sa isi poata asuma doar riscurile care trebuie asumate si sa le poata evita pe cele inutile Dar o preconditie a evaluarii riscurilor o reprezinta stabilirea unor obiective articulate si compatibile cu evolutia firmei Evaluarea riscurilor presupune identificarea si analiza acelor evenimente care pot impiedica atingerea obiectivelor propuse identificarea si analiza riscurilor sunt procese continue ce trebuie sa se desfasoare la toate nivelurile firmei si sa tina cont de factori cum sunt: schimbarile de natura economica, schimbarea nevoilor comunitatii unde activeaza firma, modificarea cadrului legislativ, noi dezvoltari tehnologice, catastrofe naturale, personal nou angajat, sisteme informationale noi, schimbarea responsabilitatilor managementului etc Dupa ce au fost identificate, toate riscurile sunt supuse evaluarii Cel mai adesea, acest proces care poate fi mai mult sau mai putin formal, include: • • • estimarea importantei fiecarui risc in parte; evaluarea probabilitatii sau a frecventei de aparitie a riscurilor; actiunile ce trebuie intreprinse pentru a contracara riscurile si costurile asociate acestor actiuni 21 Dupa ce a evaluat riscurile la care se supune, urmatorul pas pe care trebuie sa il faca orice organizatie il reprezinta stabilirea, pe de o parte, a procedeelor prin care se va exercita controlul, iar pe de alta parte, a activitatilor ce vor fi controlate Politicile si procedurile organizatiei trebuie sa fie revizuite de o maniera care sa asigure conducerea eficienta a acesteia Aceste activitati trebuie sa existe la toate nivelurile si pentru toate functiile organizatiei: aprobari, autorizari, verificari, revizii, evaluarea performantelor, protejarea activelor, separarea sarcinilor si atributiilor de serviciu (Fig R-2) Mediul controlului Evaluarea riscurilor Procedee de control Monitorizare informare  comunicare Raportari financiar-contabile Procesarea informatiilor Fig R-2- Tipuri de activitati controlate Aceste procese trebuie sa fie monitorizate in permanenta de catre cei implicati in activitatile curente, dar si de persoane independente Un sistem care este monitorizat cu regularitate poate reactiona dinamic la schimbarile ce apar in mediul sau Prin intermediul sistemului informational al organizatiei, angajatii au posibilitatea sa identifice informatiile de care este nevoie si sa le comunice celor in drept Comunicarea trebuie sa fie posibila in toate sensurile: de sus in jos (de la sefi la subalterni), de jos in sus (de la subalterni la conducatori) sau partajarea informatiilor la acelasi nivel Folosirea optima a resurselor presupune ca managementul sa aiba la dispozitie informatii pertinente in baza carora sa conceapa politicile organizatiei O data implementate, aceste politici trebuie monitorizate si trebuie sa se verifice masura in care ele sunt respectate Unul dintre cele mai importante obiective ale conducerii unei organizatii il reprezinta prevenirea si detectarea erorilor si a fraudelor Costul posibilelor masuri de control ce pot fi luate pentru a se indeplini un astfel de obiectiv trebuie comparat cu probabilitatea de aparitie a unei fraude sau erori si consecintele care deriva din aceasta aparitie Sistemul de evaluare ofera conducerii informatiile necesare administrarii afacerii respective Dar tot conducerea este cea careia ii revine responsabilitatea conceperii si punerii in practica a unui astfel de sistem OBiECTiVUL acestei lucrari DEZVOLTAREA UNUi SiSTEM FLEXiBiL DE EVALUARE PENTRU MANAGEMENTUL SiSTEMELOR iNFORMATiCE COMPLEXE deriva din necesitatea de baza a oricarei organizatii de a intelegere statusul (starea) sistemelor iNFORMATiCE COMPLEXE proprii si se refera la luarea unei decizii privind securitatea si controlul pe care ar trebui sa le produca aceste sisteme pentru obtinerea unei viziuni obiective a nivelului starii curente, a DEZVOLTaRii de proiecte activitati ce presupun automatizare Proprietarul sistemului este capabil sa determine nivelul adeziunii la obiectivele de control, fie ca o autoevaluare, fie ca o referinta in legatura cu un bilant, o trecere in revista independenta Pentru fiecare proces se pot specifica (Fig C-2): • • identificarea procesului declararea scopului pentru fiecare process 22 • • • • • • declararea posibilitatilor (cum sa tinem procesul sub control pentru a descoperi daca s-a resursele T i criteriul de informatie, cu specificatia importantei pentru procesul pe care se aplica factorii critici de succes indicatorii tinta indicatorii de performanta realizat scopul) Aceste elemente sunt structurate asa cum se prezinta in graficul din fig R-3 Resurse iT Scop 6 4 2 Posibilitati 0 indicatori tinta Factori critici de succes indicatori de performanta Fig R-3- Elementele unui proces Acest instrument de evaluare poate deveni pentru organizatie: • • o metoda de autoevaluare, pentru a decide unde se situeaza organizatia; o metoda pentru utilizarea rezultatelor autoevaluarii pentru a stabili tinte pentru dezvoltarea in viitor a organizatiei, bazandu-se pe nivelul la care doreste organizatia sa se coteze pe scala de evaluare, ceea ce nu inseamna neaparat nivelul cinci; • • o metoda pentru planificarea proiectelor pentru a atinge tintele propuse; o metoda de stabilire a prioritatilor in realizarea proiectelor, bazata pe o clasificare a proiectelor si Pentru fiecare criteriu de evaluare organizatia trebuie sa utilizeze pentru masurare scala de la 0 la 5, pentru a defini pozitia sa estimata Aceasta poate fi usor si grafic de comparat cu celelalte trei puncte: performanta tinta, standardele internationale si practica cea mai buna O organizatie pentru a face o autoevaluare simpla trebuie sa ia in considerare fiecare criteriu de evaluare, sa citeasc[ descriptorii pentru cele 6 puncte de scalare si sa stabileasca care din cele 6 puncte descriu cel mai bine starea curenta a organizatiei Cu cat este mai important procesul pentru organizatie, cu atat va fi mai sus pe scala De exemplu, intr-un mediu comercial relativ stabil, maturitatea in crestere a celor 13 procese din domeniul "furnizare si suport" este cel care diferentiaza organizatiile de success de altele Pe de alta parte, pe o analiza a beneficiilor acestora, comparativ cu costurile 23 intr-un mediu comercial foarte dinamic, organizatiile de succes sunt foarte dependente de maturitatea domeniului "planificare si orgnizare" si "achizitie si implementare" Trebuie mentionat ca exista o diferenta intre masurarea capabilitatilor si masurarea performantelor De exemplu, dobandirea capabilitatilor si priceperilor pentru o anumita securitate sau control al practicilor este una din deciziile care trebuie realizata si urmǎrita, dar consistenta aplicare a capabilitatilor, o data ce a fost ceruta, cere deasemenea sa fie masurata Organizatia trebuie deasemenea sa considere care din cei 6 descriptori descriu cel mai bine unde doreste sa se indrepte organizatia ca rezultat a strategiei T i , cu o subliniere speciala pe gradul de dependenta si valoarea informatiei in realizarea cerintelor afacerii Cotele de nivel exterioare pot fi foarte folositoare in formarea unei opinii privind nivelul de securitate realist si controlul pe care organizatia le solicita in relatie cu mediul sau si scopurile strategice in multe cazuri marcatorii pentru cele doua evaluari, unde se situeaza in momentul actual societatea si unde doreste sa ajunga, vor fi separate pe grafic de o pauza, un gol, marime ce ofera o impresie vizuala a cantitatii de munca care trebuie realizata pentru a inchide spatiul si de a realiza scopurile strategice Acest spatiu trebuie sa fie deasemenea descris in detaliu pentru a facilita utilizarea rezultatelor analizelor acestui gol pentru a planifica o serie de proiecte care va conduce organizatia spre atingerea scopurilor strategice privind securitatea datelor si controlul acestora Procesul de analiza a decalajelor va alcatui o lista a tuturor actiunilor necesare pentru a inlatura decalajul dintre starea curenta si scopul strategic corespondent Aceasta lista a decalajelor ar trebui utilizata pentru a planifica o lista potrivita de proiecte care vor realiza aceste actiuni Probabil ca va exista o relatie de tipul multi la multi in schitarea decalajelor si proiectelor (Fig R-4) DECALAJ 1 SARCiNi A 2 B C 3 n m Fig R-4- Reprezentarea decalajelor si sarcinilor Fiecare proiect poate fi apoi etichetat cu o emblema unica secventiala, ca in fig R-5 Obiectivul in alegerea proiectelor prioritare este de a identifica acele proiecte unde castigurile rapide pot fi realizate Cele mai bune candidate pentru castiguri rapide sunt de obicei acelea unde decalajele sunt mici si costul de inchidere a decalajului este scazut, riscul de esec al proiectului este scazut si impactul asupra beneficiilor afacerii vor fi mai mari 24 impact 10 S1 5 Proiecte cu prioritate mare T3 P5 O2 0 5 10 Cost Risc Fig R-5- Pozitia proiectelor in raport cu impactul pentru afacere si risc Modalitatea de a acorda prioritate proiectelor este prin identificarea castigurilor rapide care se pot realiza Cele mai bune candidate pentru castiguri rapide sunt de obicei acele proiecte in care gap-urile sunt mici, unde costurile pentru a inchide un gap este cat mai scazut, unde riscul de esuare a unui proiect si impactul beneficiilor asupra afacerii este mai mare Proiectele ar putea fi evaluate pentru impact si cost risc pe o scala de la 0 la 10 pentru fiecare din aceste variabile Proiectele pot fi trasate pe un grafic care sa devina un instrument suport pentru decizia managerului, aratand impactul relativ si costurile riscurile Proiectele care au un impact mare si un cost relativ scazut sunt bune candidate pentru selectie, ca si castigatoare rapide in anii recenti, a devenit foarte evident pentru moderatori, legiuitori, utilizatori si furnizori de servicii faptul ca exista nevoia unei referinte pentru un cadru de lucru pentru securitate si control in T i O importanta critica pentru succesul si supravietuirea organizatiei o are administrarea efectiva a tehnologiei informatiei (T i ) Pentru multe organizatii informatia si tehnologia pe care o sustin reprezinta cele mai mari valori ale organizatiei intr-adevar, informatia si sistemele de informatie sunt universale pentru toata organizatia - de la platforma utilizatorului la retelele locale si cele de mare intindere, la serverele utilizatorului la cadrul computerelor Multe organizatii recunosc potentialele beneficii pe care le produce tehnologia Totusi, organizatiile de succes inteleg si administreaza riscurile asociate cu implementarea noilor tehnologii Astfel, administratia are nevoie de o apreciere si o intelegere de baza a riscurilor si a constrangerilor din T i pentru a furniza controale adecvate ADMiNiSTRATiA trebuie sa decida ce sa investeasca rezonabil pentru securitate si control in T i si cum sa balanseze riscurile si investiile de control intr-un mediu al T i de multe ori imprevizibil Chiar daca sistemul de control si securitate a informatiei ajuta la administrarea riscurilor, el nu le elimina Aditional, nivelul exact de risc nu poate fi niciodata estimat, deoarece mereu exista un nivel de nesiguranta Ultimativ, administratia trebuie sa decida asupra nivelului riscului pe care il poate accepta Judecand ce nivel poate fi tolerat, in mod special cand este pus in balanta cu costul, poate fi o decizie dificila a administratiei De aceea administratia are clar nevoie de un cadru de lucru a practicilor acceptate general de securitate si control al T i pentru a-si putea evalua starea curenta 25 Este necesar pentru UTiLiZATORii serviciilor T i de a fi asigurati, prin acreditarea si revizuirea serviciilor T i furnizate de grupuri interne sau tertiare, ca securitatea si controlul adecvat exista Totusi, in prezent, buna implementare a sistemelor T i de control si informare, fie ele comerciale, non-profit sau guvernamentale, sunt stanjenite de confuzie Confuzia provine de la metode diferite de evaluare precum evaluarile iTSEC, TCSEC, iSO9000, scotand la iveala evaluarile controalelor interne COSO etc Ca rezultat, utilizatorii au nevoie de o stabilire generala ca prim pas Frecvent, CONTROLORii au preluat stafeta in astfel de eforturi de standardizare internationala, deoarece ei sunt confruntati continuu cu nevoia de a-si dovedi opinia asupra controlului intern asupra administrarii Fara un cadru de lucru, aceasta este o sarcina extrem de dificila Mediul afacerii inseamna competitie, schimb si cost Organizatiile se restructureaza cu operatiunile de modernizare si profita de investitiile in T i pentru a-si imbunatati pozitia competitiva Reproiectarea afacerii, marimea corecta, sursele externe, imputernicirea, organizatii indepartate si procesare distribuita, sunt toate schimbari ce intra in impact cu calea pe care opereaza firmele si organizatiile guvernamentale Aceste schimbari au si vor continua sa aiba implicatii profunde pentru administratie si structurile operationale de control dintr-o organizatie Accentul pus pe atingerea avantajului cooperativ si eficienta de cost implica o incredere mereu crescanda in tehnologie ca o componenta majora in strategia celor mai multe organizatii Automatizarea functiilor organizationale, prin natura ei, dicteaza incorporarea unui mecanism de control mult mai puternic pentru computere si retele, amandoua fiind bazate pe hardware si software in cadrul de lucru al schimbarii accelerate, daca managerii, specialistii sistemelor informatice si controlorii vor putea cu adevarat sa isi indeplineasca rolurile, abilitatile lor vor trebui sa evolueze la fel de repede precum tehnologia si mediul Trebuie sa se inteleaga tehnologia controalelor implicate si natura lor in continua schimbare in vederea acestor schimbari, dezvoltarea cadrului de lucru pentru controlul obiectivelor pentru T i , odata cu controalele aplicate cercetate in T i bazate pe acest cadru de lucru, sunt pietre de hotar pentru progresul efectiv in campul informational si cel legat de controalele tehnologice intotdeauna gradul de complexitate al proiectelor este un factor care poate influenta metoda de control, dar si cea de raportare Un sistem de evaluare axat pe cele patru activitati specificate in standardul Cobit de evaluare a T i este extrem de util pentru managerul de proiect pentru a controla : Procesele de planificare si organizare Procesele de achizitie si implementare Procesele de asistenta si support Procesele de monitorizare Modelul propus se adreseaza atat managerilor de proiect, auditorilor de sisteme informatice si managerilor unitatilor economice si asigura o modalitate de evaluare a sistemelor informatice Sistemul ofera prin flexibilitatea sa urmatoarele avantaje: Raspunde necesitatii de evaluare in conformitate cu un standard; interfata grafica ofera facilitate in utilizarea acestui sistem ca un instrument de lucru in evaluarea proceselor sistemelor informatice, desi modelul este complex; Da posibilitatea administratiei sa aloce efectiv resurse in functie de rezultatele evaluarii; 26 Furnizeaza un sumar privind individualitatea unitatii si cotarea ei in comparatie cu unitati de acelasi profil; Utilitatea in stabilirea prioritatii proiectelor; Posibilitatea de evaluare a riscului; identificarea obiectivelor afacerii si alegerea celor prioritare; Evaluarea si administrarea ariilor de risc mare in procesele afacerii; Dezvoltarea planurilor de actiune pentru tratarea riscurilor; Adauga valoare in proiectarea unui sistem informatic si mentinerea controlului pentru a lua masuri corective; Scoate in evidenta intr-o maniera corecta, transparenta si usor de inteles punctele sensibile in mentinerea si exploatarea sistemelor informatice; Evalueaza starea curenta a sistemului informatic implementat 27 